Fortinet corrige vulnerabilidades em Firewalls FortiGate que permitiam roubo de credenciais corporativas

A SentinelOne observou atacantes explorando três vulnerabilidades críticas CVSS 9.8 em NGFWs FortiGate entre dezembro de 2025 e fevereiro de 2026. As CVE-2025-59718 e CVE-2025-59719, ambas resultantes de verificação inadequada de assinatura criptográfica, permitiam que atacantes não autenticados falsificassem SAML tokens e obtivessem acesso administrativo. A CVE-2026-24858 foi explorada como um zero-day para fazer login em dispositivos usando uma conta alternativa. A CVE-2025-59718 foi adicionada ao catálogo KEV da CISA no final de janeiro de 2026.

Em resposta, a Fortinet suspendeu o FortiCloud SSO antes de lançar um patch de firmware. Defensores devem aplicar a correção imediatamente, girar todas as credenciais LDAP e AD associadas a dispositivos FortiGate, impor controles rigorosos de acesso administrativo, auditar as configurações de mS-DS-MachineAccountQuota e monitorar a telemetria EDR de servidores adjacentes ao NGFW para identificar a criação não autorizada de contas de administrador locais.